VulDB: Microsoft SQL Server Statement Handler INSERT Statement Pufferüberlauf
Allgemein
scipID: 3782
Betroffen: Microsoft SQL Server / MSDE
Veröffentlicht: 09.07.2008 (Anonym)
Risiko: 
problematisch
Eintrag: 86.8% komplett
Erstellt: 21.07.2008
Aktualisiert: 03.09.2012
Beschreibung
Der Microsoft SQL Server (abgekürzt MS-SQL-Server) ist ein relationales Datenbankmanagementsystem auf der Microsoft-Windows-Plattform. In einem aktuellen Advisory beschreibt Microsoft eine Schwachstelle. Den dort zu findenden Informationen zu folgen, lässt sich aufgrund eines Fehlers in der Verarbeitung von INSERT Statements ein Pufferüberlauf provozieren, der die Ausführung beliebigen Codes erlaubt. Mitunter wird der Fehler auch in den Datenbanken von Secunia (SA30970) und SecurityFocus (BID 30119) dokumentiert.
Datenbanksysteme sind interessante Ziele. Dementsprechend dürften die vier vorliegenden Schwachstellen durch als interessant anzusehen sein. Es empfiehlt sich, das freigegebene Update zeitnah einzuspielen, um eine unnötige Exponierung zu vermeiden.
CVSS
Base Score: 4.6 (CVSS2#AV:N/AC:H/Au:S/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/a:microsoft:sql_server
Exploiting
Klasse: Pufferüberlauf
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Upgrade
0-Day Time: 0 Tage seit gefunden
Patch: MS08-040
Timeline
07.01.2008 | CVE zugewiesen
09.07.2008 | Advisory veröffentlicht
21.07.2008 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: MS08-040
Person: Anonym
CVE: CVE-2008-0107 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 30970
SecurityFocus: 30119
